中国人民银行各分行、营业管理部,各政策性银行、国有独资商业银行、股份制商业银行:
现就实施《网上银行业务管理暂行办法》(中国人民银行令〔2001〕第6号,以下简称《办法》)有关问题通知如下:
一、关于网上银行业务的准入
(一)网上银行业务的准入程序
根据《办法》第七条和第九条的规定,人民银行对银行机构开办网上银行业务的市场准入,实行“一级监管”的原则,即:各类银行机构首次开办网上银行业务,应由其总行向人民银行总行、分行或营业管理部申请。银行在获准开办网上银行业务后,如需要增加网上银行业务品种,应由其总行或主报告行向人民银行总行、分行或营业管理部申请。
银行通过互联网增开无需人民银行审批或备案的业务品种,由其总行或主报告行事前向人民银行总行、分行或营业管理部书面报告即可开办,无需人民银行回复。
中外合资银行、外商独资银行、外国银行分行的总行或主报告行、以及总部在北京以外地区的股份制商业银行在向人民银行总行提交申请或报告的同时,应抄送人民银行相应分行或营业管理部、以及当地管辖行。在审查期间,人民银行相应分行、营业管理部或当地管辖行如有不同意见,可及时向人民银行总行反馈。
银行分支机构或主报告行以外的其他外国银行分行在其总行或主报告行已获批准的网上银行业务范围内增开网上银行业务,在取得其内部授权后,于事前向人民银行当地管辖行提交书面报告后即可开办,无需人民银行回复。
人民银行当地管辖行收到银行分支机构或主报告行以外的其他外国银行分行的报告后,应及时对该机构开展网上银行业务的情况进行监督检查,及时向人民银行上级行报告发现的问题。
对事前未向人民银行报告即新开网上银行业务的商业银行,人民银行有权依据《办法》第二十六条给予相应处罚。
(二)网上银行业务的准入形式
对适用备案制的网上银行业务申请,统一用“备案通知书”回复商业银行,由人民银行监管部门加盖本部门公章后直接发出。
对适用审批制的网上银行业务申请,人民银行行文批复商业银行。
(三)应补充报送的资料
银行机构首次申请开办网上银行业务,除按《办法》第八条报送有关资料外,还应按照《办法》第八条第(八)项的要求提供以下资料和信息:
(一)注册的网站名;
(二)演示光盘,显示用户界面并介绍申请机构业务运作系统的基本结构;
(三)外国银行分行还应报告其母行网上银行业务的开展情况,具体内容包括业务品种、业务规模、风险管理措施等。
二、开办网上银行业务申请的审查要点
审查银行机构开办网上银行业务的申请,人民银行监管部门应掌握以下要点:
(一)风险管理能力
网上银行业务申请机构应配备合格的管理人员和专业人员,应建立识别、监测、控制和管理网上银行业务风险的方法与管理制度。
(二)安全性评估
银行开办网上银行业务,应对其业务运作的安全性进行评估。人民银行监管部门在对银行该项工作的审查过程中,应把握以下方面:
1、安全性评估应由合格的机构或组织实施。
银行选择的评估机构可以是银行的内部审计部门、或主管部门认可的外部评估机构、或由银行自行组织的专家委员会。衡量评估机构或组织是否合格,要考虑评估机构或组织是否独立于网上银行业务系统的开发部门和运行部门,是否拥有专业评估人员。专业评估人员应掌握国际和国内相关行业的行业标准和专业技能,应能胜任对网上银行业务安全性的评估。
2、应向人民银行提交安全评估报告。安全评估报告应至少满足以下要求:
(1)评估报告应列明评估的范围。评估应突出对信息系统安全的评估,包括安全策略、物理安全、数据通讯安全、应用系统安全等方面的内容。
(2)评估报告应列明评估所依据的国内和国际标准,判断网上银行业务运行系统是否符合标准。
(3)评估报告应指出安全隐患和提出整改的建议,并对网上银行业务的安全性做出明确的结论。
(4)评估报告应由相关责任人签字。一是要由评估机构或组织的负责人签字。如果是由银行自行组织的专家委员会评估,则报告应明确提示每位专家负责评估的部分,并由每一位专家签字;如果是由银行的内部审计部门或外部评估机构评估,则评估报告要由内部审计部门或外部评估机构的第一负责人签字。二是评估报告要经银行的主管部门负责人、主管行长或行长签字,确认评估结论。
《办法》颁布前,经人民银行批准已开办网上银行业务的银行机构,应根据《办法》及本通知的要求,对网上银行业务运行的安全性进行重新评估,提交补充评估报告。
(三)网上银行业务运行应急和业务连续性计划
银行业务运行应急和连续性计划至少应包括以下四个方面的内容:
1、系统的备份情况,包括软硬件的备份和数据的备份。重点审核备份系统核心系统(例如计算机主机)的安放位置、备份系统的安全水平。备份系统核心系统的安放位置应足以保证在当前系统无法运作时不会受到影响,备份系统的安全水平应不低于当前系统的安全水平。
2、对意外事故的处理。主要指在自然灾害或突发性事件(例如地震、电击、非正常断电、外力带来的物理性损毁等)导致系统突然停顿、业务中断情况下的应对措施和实施程序,包括启用备用设备、恢复系统和数据的措施等。
3、对非法侵入或攻击的处理。主要指在遭到内外部的非法侵入和攻击而导致数据被窃、资金损失、程序混乱、系统瘫痪等情况下的应对措施和实施程序。
4、对业务运行应急计划和连续性计划的科学性和有效性进行定期测试的制度安排,包括:(1)具有定期测试的时间安排;(2)测试应在高级管理层的直接监督之下;(3)对测试中发现的问题应及时解决,等。
(四)内部监控能力
网上银行业务申请机构应建立网上银行业务审计制度,应配备相应的网上银行业务审计人员。
三、对网上银行业务的监管和报告要求
人民银行现有对传统银行业务的风险监管要求对网上银行业务仍然适用,但应充分认识网上银行业务监管工作的复杂性和艰巨性,突出对技术性风险的监管,督促银行机构加强对网上银行业务运行安全的检查,并加强对网上银行业务监管人员的培训,建立网上银行业务专业监管力量。
同时,人民银行应督促商业银行建立网上银行业务信息管理系统,按以下要求向人民银行报告网上银行业务经营情况和存在的问题:
一是定期向人民银行及分支机构的监管部门和统计部门报送《网上银行业务基本情况统计表》,于每年4月10日、7月10日、10月10日之前报送上一季度的网上银行业务开展情况,于每年1月10日之前报送上一年度第四季度的网上银行业务开展情况,于每年1月20日之前报送上一年度全年的网上银行业务开展情况;
二是每年初应就上一年度网上银行业务的基本情况、存在问题和下一年度的发展计划向人民银行监管部门报送总结报告;
三是根据《办法》二十四条建立网上银行业务运作重大事项报告制度,及时向监管当局报告网上银行业务经营过程中发生的重大泄密、黑客侵入、网址更名等重大事项。
各银行机构应按规定的报告格式,自2002年第1季度始向人民银行报告网上银行业务开展情况。对未按要求报告网上银行业务基本情况及风险状况的银行机构,人民银行监管部门有权按有关规定进行处罚。
四、其他事项
根据《中华人民共和国商业银行法》的规定,城市信用合作社、农村信用合作社和邮政储蓄机构开办网上银行业务,可参照《办法》执行。
请人民银行各分行、营业管理部接此文后,及时转发至辖区内的外资银行等相关金融机构。
